Proyecto de ley de protección de datos personales de la India e Internet de las cosas: desafíos por delante

Publicado: 2018-09-04

Inundar a los usuarios con múltiples avisos largos para obtener su consentimiento en cada instancia de la recopilación probablemente conducirá a la fatiga del consentimiento.

Proporcionar avisos para dispositivos que carecen de interfaces de usuario interactivas o pantallas de visualización resultará ser un desafío.

Los desarrolladores de IoT en India deberán coordinarse con la Autoridad de Protección de Datos para desarrollar pautas prácticas para solucionar estos problemas.

El proyecto de Ley de Protección de Datos Personales de 2018 (Ley PDP) ha llegado en un momento oportuno, en un momento en que la recopilación y el uso de nuestros datos personales se han convertido en un aspecto omnipresente de la vida cotidiana.

El enfoque del proyecto de ley en asegurar el consentimiento informado del usuario para el procesamiento de todos los datos personales marca un paso adelante en el marco de las Reglas de Tecnología de la Información (Prácticas y procedimientos de seguridad razonables y datos o información personal confidencial), 2011 (Reglas de TI). Según las Reglas de TI, se requería el consentimiento del usuario solo para la recopilación, el uso o la divulgación de datos personales confidenciales , a diferencia del nuevo proyecto de ley.

Los ciudadanos ahora pueden estar tranquilos sabiendo que sus datos no pueden ser tomados sin su conocimiento. Sin embargo, hay una otra cara de la moneda en los estrictos estándares del proyecto de ley sobre el consentimiento.

Para que el consentimiento del usuario sea válido en virtud del Proyecto de Ley, debe ser otorgado libremente, específico, claro, susceptible de ser retirado y, quizás lo más importante, informado a través de un aviso claro y detallado que se proporciona en el momento de la recolección. Si bien proporcionar avisos completos para asegurar el consentimiento para el uso de datos en cada etapa es un buen principio rector, en teoría, puede ser difícil de aplicar en la práctica.

Esto es particularmente cierto para los usuarios que confían en los dispositivos de Internet de las cosas (IoT) que operan en un entorno altamente interconectado. Para que la notificación se considere significativa, un usuario de un dispositivo IoT debe poder comprender cómo y por qué se utilizan sus datos personales y, en el caso de datos personales confidenciales, las consecuencias del uso de esos datos.

Inundar a los usuarios con múltiples avisos extensos para obtener su consentimiento en cada instancia de la recopilación probablemente conducirá a la fatiga del consentimiento y puede que no sea la mejor manera de obtener un consentimiento significativo.

Además, proporcionar avisos para dispositivos que carecen de interfaces de usuario interactivas o pantallas de visualización también será un desafío . Los desarrolladores de IoT en India deberán coordinarse con la Autoridad de Protección de Datos para desarrollar pautas prácticas para solucionar estos problemas.

El consentimiento para la recolección no es tan fácil como se define

Las disposiciones del proyecto de ley sobre el propósito y la limitación de la recaudación también pueden plantear algunos desafíos operativos . Los fiduciarios de datos en virtud del Proyecto de Ley solo pueden recopilar datos personales para fines que sean claros, específicos, lícitos y comunicados con anticipación.

Si bien esta limitación es necesaria para proteger la privacidad individual y evitar el uso indebido de los datos, es posible que no se pueda hacer cumplir en la práctica para entornos habilitados para IoT como hogares inteligentes, automóviles inteligentes y ciudades inteligentes que se basan en conjuntos de datos interconectados para llegar a conclusiones.

Por ejemplo, puede ser difícil determinar de antemano el propósito exacto de la recopilación de datos en un entorno donde los usos de los mismos conjuntos de datos evolucionan constantemente.

Recomendado para ti:

Los emprendedores no pueden crear nuevas empresas sostenibles y escalables a través de 'Jugaad': CEO de CitiusTech
Noticias

Los emprendedores no pueden crear startups sostenibles y escalables a través de 'Jugaad': Cit...

Cómo Metaverse transformará la industria automotriz india
Recursos

Cómo Metaverse transformará la industria automotriz india

¿Qué significa la disposición contra la especulación para las nuevas empresas indias?
Recursos

¿Qué significa la disposición contra la especulación para las nuevas empresas indias?

Cómo las empresas emergentes de Edtech están ayudando a mejorar las habilidades y preparar a la fuerza laboral para el futuro
Recursos

Cómo las empresas emergentes de Edtech están ayudando a la fuerza laboral de la India a mejorar y prepararse para el futuro...

Noticias

Acciones tecnológicas de la nueva era esta semana: los problemas de Zomato continúan, EaseMyTrip publica...

Startups indias toman atajos en busca de financiación
Características

Startups indias toman atajos en busca de financiación

De hecho, la limitación estricta del propósito y la recopilación puede incluso ir en contra de la funcionalidad de ciertos dispositivos y aplicaciones, como en el caso de los sistemas de seguridad para el hogar. Por ejemplo, ¿cómo los timbres inteligentes habilitados para video que capturan imágenes faciales de los visitantes que tocan el timbre informarán a dichos visitantes de la captura de su imagen sin anular el propósito de instalar tales cámaras en primer lugar? Este problema se agrava en el caso de los dispositivos basados ​​en sensores que funcionan sin ninguna interfaz de usuario.

Si bien el proyecto de ley relaja la limitación de la recopilación de datos para usos "razonables" e incidentales de datos personales, el estándar para determinar la "razonabilidad" en estos casos no está claro en la actualidad.

El proyecto de ley es ciertamente progresista en la adopción de altos estándares para la protección de la privacidad individual. Sin embargo , a las empresas que buscan cumplir con el proyecto de ley les resultará difícil adherirse a sus estrictos requisitos en ausencia de una guía práctica. Dado que el incumplimiento del proyecto de ley puede generar severas sanciones civiles y penales, la claridad en todos los aspectos del proyecto de ley es esencial para las empresas con gran cantidad de datos.

¿Qué es el propósito y la limitación de la colección?

La sección 5 del proyecto de ley de protección de datos personales de 2018 ("Proyecto de ley ") propone que los datos solo se procesarán para fines que sean claros, específicos y legales. Sin embargo, el proyecto de ley permite el procesamiento de datos para cualquier otro propósito incidental para el que el titular de los datos esperaría razonablemente que se usaran los datos personales según las circunstancias y el contexto en el que se recopilaron los datos personales.

La sección 6 del proyecto de ley estipula que los datos solo se recopilarán si la recopilación de dichos datos es necesaria para el propósito del procesamiento.

¿Cuál es el objetivo detrás del propósito y la limitación de la colección?

Dado que existe una relación de confianza entre el fiduciario de los datos (la entidad que recopila y procesa los datos) y el titular de los datos (la persona cuyos datos se recopilan y procesan), el objetivo de la limitación del propósito es garantizar que los datos que se recopilan solo se usa para el propósito para el que se recopila y no para ningún otro propósito que no haya sido revelado al titular de los datos en el momento de la recopilación. El objetivo de la limitación de la recopilación es garantizar la minimización de datos.

¿Cuál es el problema con el propósito y la limitación de la colección?

El propósito y la limitación de la recolección se basan en la suposición de que para que el consentimiento sea válido, no es suficiente mencionar vagamente el propósito de la recolección y, por lo tanto, el propósito debe ser específico. Sin embargo, el problema con esta suposición es que cada propósito para el que se pueden usar los datos personales en el futuro se puede determinar en el momento de la recopilación.

Sin embargo, esto no es así, ya que es posible que los datos deban utilizarse para determinados fines que no podían preverse en el momento de la recopilación. Por lo tanto, la especificación vaga del propósito en el formulario "mejorar la experiencia del usuario" debería ser suficiente, ya que es un motivo válido y legal para el procesamiento de datos personales.

Los datos son un habilitador de estrategias futuras y cambios inmediatos, gracias al poder del análisis predictivo y la ciencia de datos avanzada. El aprovechamiento correcto de los datos puede ayudar a lograr una mejor toma de decisiones basada en hechos y mejorar la experiencia general del cliente.

Mediante el uso de nuevas tecnologías de Big Data, las organizaciones pueden responder preguntas en segundos en lugar de días, y en días en lugar de meses. Esta aceleración permite a las empresas habilitar el tipo de reacciones rápidas a preguntas y desafíos comerciales clave que pueden generar una ventaja competitiva y mejorar el rendimiento, y proporcionar respuestas para problemas complejos o preguntas que se han resistido al análisis.

Sobre los autores

Este artículo es coautor de Tuhina Joshi e Ila Tyagi, los asociados de Ikigai Law (anteriormente, TRA Law), una firma de abogados y políticas galardonada que se enfoca en tecnologías emergentes.